Clickjacking werkt onder andere met ingesloten iFrames om de interactie van een gebruiker met een webpagina over te nemen.
Power Pages biedt HTTP/X-Frame-Options-site-instellingen met standaard SAMEORIGIN om te beschermen tegen clickjacking-aanvallen.
Meer informatie: HTTP-headers instellen in Power Pages
Power Pages ondersteunt beleid voor beveiliging van inhoud. Uitgebreid testen wordt aanbevolen na het inschakelen van CSP op Power Pages-websites.
Meer informatie: Beveiligingsbeleid voor inhoud van uw site beheren
Standaard ondersteunt Power Pages HTTP-naar-HTTPS-omleidingen. Als dit is gemarkeerd, controleert u of de aanvraag wordt geblokkeerd op App Service-niveau. Als het verzoek geen succesvol verzoek is (responscode >= 400), is het een vals positief verzoek.
Waarom worden cookies zonder HTTPOnly/SameSite-vlaggen gedetecteerd/gerapporteerd door pentesttools?
Power Pages stelt HTTPOnly/SameSite-vlaggen in voor elke kritieke cookie. Er zijn enkele niet-kritieke cookies waarvoor HTTPOnly/SameSite niet is ingesteld, en deze mogen niet als een kwetsbaarheid worden beschouwd.
Meer informatie: Cookies in Power Pages
Mijn pentestrapport geeft de melding End of Life/Obsolete Software – Bootstrap 3 aan. Wat moet ik doen?
Er zijn geen kwetsbaarheden bekend in Bootstrap 3. Wel kunt u uw site migreren naar Bootstrap 5.
Welke coderingsmethoden worden door Power Pages ondersteund? Wat is de routekaart naar continu sterkere coderingsmethoden?
Alle Microsoft-services en -producten zijn geconfigureerd om de goedgekeurde suites met coderingsmethoden te gebruiken, in de exacte volgorde zoals aangegeven door de Microsoft Crypto Board.
Zie voor de volledige lijst en exacte volgorde de Power Platform-documentatie.
Informatie over afschaffingen van suites met coderingsmethoden wordt gecommuniceerd via de Power Platform-documentatie Belangrijke wijzigingen.
Waarom biedt Power Pages nog steeds ondersteuning voor RSA-CBC-coderingsmethoden (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) en TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) die als zwakker worden beschouwd?
Microsoft weegt het relatieve risico en de verstoring van klantbewerkingen af bij het kiezen van de ondersteuning voor suites met coderingsmethoden. De RSA-CBC-suites met coderingsmethoden zijn nog niet gecompromitteerd. We hebben ervoor gezorgd dat ze consistentie tussen onze services en producten garanderen en alle klantconfiguraties ondersteunen. Ze staan echter onder aan de prioriteitenlijst.
We schaffen deze suites met coderingsmethoden af op basis van de doorlopende evaluatie door de Microsoft Crypto Board.
Meer informatie: Welke TLS 1.2-coderingsmethoden worden ondersteund door Power Pages-portals?
Power Pages is gebouwd op Microsoft Azure en gebruikt Azure DDoS-beveiliging om te beschermen tegen DDoS-aanvallen. Ook het inschakelen van OOB/AFD/WAF van derden kan meer bescherming op de site toevoegen.
Meer informatie:
In mijn pentestrapport wordt een kwetsbaarheid in CKEditor gesignaleerd. Hoe kan ik deze kwetsbaarheid beperken?
RTE PCF-besturingselement vervangt CKEditor binnenkort. Als u dit probleem vóór de release van het RTE PCF-besturingselement wilt oplossen, schakelt u CKEditor uit door de site-instelling DisableCkEditorBundle = true te configureren. Een tekstveld vervangt CKEditor zodra dit is uitgeschakeld.
We raden u aan HTML-codering uit te voeren voordat u gegevens uit een niet-vertrouwde bron weergeeft.
Meer informatie: Beschikbare coderingsfilters.
De functie ASP.Net-aanvraagvalidatie is standaard ingeschakeld op Power Pages-formulieren om aanvallen met scriptinjectie te voorkomen. Als u uw eigen formulier maakt met behulp van de API, bevat Power Pages verschillende maatregelen om injectieaanvallen te voorkomen.
- Zorg voor een goede HTML-opschoning bij het verwerken van gebruikersinvoer vanuit een formulier of een ander gegevensbeheer dat gebruikmaakt van Web-API.
- Implementeer invoer- en uitvoeropschoning voor alle invoer- en uitvoergegevens voordat deze op de pagina worden weergegeven. Dit omvat gegevens die zijn opgehaald via liquid/WebAPI of zijn ingevoegd/bijgewerkt in Dataverse via deze kanalen.
- Als er speciale controles nodig zijn voordat formuliergegevens worden ingevoegd of bijgewerkt, kunt u invoegtoepassingen schrijven die worden uitgevoerd om gegevens aan de serverzijde te valideren.
Meer informatie: Power Pages-whitepaper voor security.